Signer ses zones DNS avec DNSSEC sous Windows Server 2012 / 2012 R2

  • Windows Server
  • DNS
  • 3/3

8. Resigner la zone DNS

Pour signer à nouveau votre zone DNS, faites un clic droit sur celle-ci et cliquez sur : DNSSEC -> Signer la zone.

L'assistant Signature de zone s'affiche.

Si vous souhaitez resigner la zone avec les mêmes paramètres que ceux utilisés précédemment, choisissez "Personnalisez les paramètres de signature de zone".

Note : si vous utilisez PowerShell, vous pouvez aussi réutiliser les mêmes paramètres en utilisant le paramètre "DoResign" de la commande PowerShell : Invoke-DnsServerZoneSign.

Comme vous pouvez le voir, les anciens paramètres ont été gardés en mémoire par Windows Server.

Idem pour les paramètres des ancres d'approbation.

La zone est à nouveau signée.

9. Activer la recherche WINS pour les zones DNS signées (non recommandé)

Sous Windows Server 2008 R2, la recherche WINS (directe et inversée) était désactivée pour les zones DNS signées (avec DNSSEC).
Source : DNS Servers | Microsoft Docs

Mais, sous Windows Server 2012 et 2012 R2, vous pourrez l'activer. Malgré que cela soit déconseillé étant donné que cela peut constituer une faille de sécurité dans votre infrastructure DNS.
Pour cela, faites un clic droit "Propriétés" sur votre zone de recherche directe et allez dans l'onglet "WINS".
Ensuite, cochez la case "Utiliser la recherche directe WINS".

Etant donné que votre zone de recherche directe est signée avec DNSSEC et que les réponses WINS ne sont pas sécurisées, un avertissement s'affichera.
Cliquez sur Oui pour ignorer cet avertissement.

Ensuite, indiquez l'adresse IP de votre serveur WINS et cliquez sur Ajouter.
Pour finir, cliquez sur OK pour fermer la fenêtre.

Pour activer la recherche WINS inversée (ou WINS-R), faites un clic droit "Propriétés" sur votre zone de recherche inversée.
Ensuite, cochez la case "Utiliser la recherche WINS-R".

Comme tout à l'heure, un avertissement s'affiche étant donné que les réponses WINSR ne sont pas sécurisées.
Cliquez à nouveau sur Oui pour ignorer cet avertissement.

Indiquez le nom de domaine local que vous utilisez dans votre réseau et cliquez sur OK.

Note : il s'agit du suffixe qui sera ajouté après le nom NETBIOS retourné par votre serveur WINS.

Pour tester la configuration de votre serveur DNS, utilisez ces commandes :

1) Pour connaitre l'adresse IP d'un PC du réseau (actuellement allumé) grâce à son nom NETBIOS, utilisez la commande :

PowerShell

Resolve-DnsName WIN-8-1-PC -server ns1.informatiweb.lan

Note : "WIN-8-1-PC" correspond au nom NETBIOS d'un PC de notre réseau et "ns1.informatiweb.lan" correspond au nom de domaine pointant sur notre serveur DNS local.

2) Pour connaitre le nom d'un PC du réseau (actuellement allumé) grâce à son adresse IP, utilisez la commande :

PowerShell

Resolve-DnsName 10.0.0.10 -server ns1.informatiweb.lan

Note : "10.0.0.10" correspond à l'adresse IP que notre PC "WIN-8-1-PC" utilise actuellement.

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.